“Tres billones de vidas humanas acabaron el 29 de agosto de 1997. Los sobrevivientes de la explosión nuclear lo llamaron el Día del Juicio Final. Solo sobrevivieron para enfrentarse a una nueva pesadilla: la guerra contra las Máquinas”.
Bueno, realmente no. En ese entonces, en 1997, se estandarizó la primera especificación Wi-Fi (802.11b), Steve Jobs volvió a Apple, se inventó el .PNG, y una computadora confrontó a un humano en una partida de ajedrez. Pero el hecho es que el Día del Juicio Final nunca llegó. Las máquinas no han evolucionado lo suficiente para empezar con el apocalipsis. La inteligencia artificial capaz de destruir a la humanidad, aun no se conoce, pero eso no significa que en estos últimos 18 años no haya habido algún cambio.
El cambio ha llegado. Y una vez que la definición de “robot” se conozca mejor y más allá de la imagen impuesta por Hollywood, veremos que los robots, en realidad nos rodean y los Armagedones locales suceden constantemente por todas partes.
Aunque creamos que son para nuestra comodidad, cada vez están más fuera de control. Pero no ha sido su propia voluntad y la razón es muy sencilla: alguien hizo mal su trabajo a la hora de diseñarlos.
Nuestro resumen semanal de noticias cubre tres historias sobre los errores que los codificadores cometen al programar robots, la manera en que otras personas explotan estos fallos del sistema, y luego el ajuste de cuentas. Yo no iría tan lejos llamándolo el fin del mundo, pero en términos de peligro, código coral, repito, código coral, con una pizca de color calabaza. Siguiendo las reglas del camino, como siempre: el equipo de nuestro blog de noticias de Threatpost elige tres a la semana, que suelo comentar sin piedad. Los demás episodios se pueden encontrar aquí.
En mi post anterior puse una encuesta para saber cómo la gente utiliza los gestores de contraseñas, y los resultados fueron los siguientes: Un poco más de la mitad de los encuestados (62%), aceptaron que los gestores de contraseñas son fundamentales para mantener en orden las contraseñas únicas. La mitad de aquellos que contestaron la segunda pregunta (123 en total), utilizan tales gestores – Debo recalcar que esta cantidad es algo alta para la gente de la comunidad IT, mientras que para la gente común, este número constituye solo un 7%.
Una puerta trasera permanente en los routers de Cisco a través de un firmware modificado
Noticia. Investigación por FireEye.
Seguramente he mencionado que los routers actuales son una caja negra secreta que suele estar empolvada en una esquina la mayor parte del tiempo y que nadie le pone atención. Bueno, esta suposición se aplica para ambos routers, caseros e industriales: los investigadores descubrieron la posibilidad de instalar puertas traseras a por lo menos tres modelos industriales de Cisco. Teniendo en cuenta el trato que suelen tener los routers, esto podría pasar de inadvertido por un largo tiempo.
El concepto del ataque, fácil a primera instancia pero difícil en realidad, es el siguiente: al obtener acceso al router vulnerable, uno podría cargar un firmware modificado, y una vez que el ataque consiga el acceso remoto al aparato, podría instalar plugins para mayor comprensión.
No es tan malo en realidad. Los investigadores de FireEye identificaron solo tres modelos de vulnerabilidades: Cisco 1841, 2811 y 3825. Hasta donde yo sé, estos modelos llegaron a su fin y muy pronto dejarían de ser apoyados por los comerciantes. El vector de ataque inicial, no explota una vulnerabilidad en routers: aparentemente, el firmware podría ser modificado al obtener acceso directo al dispositivo a través de las credenciales de inicio de sesión automática, o de lo contrario, la contraseña única en manos de un atacante que resultaba saberla.
Attackers Replacing Firmware on @Cisco Routers: https://t.co/BPbw4C3926 via @Threatpost pic.twitter.com/kOZ1JkN11T
— Kaspersky (@kaspersky) September 15, 2015
La situación en sí, en caso de ser factible, es un completo fiasco que crea una gran brecha en la seguridad corporativa. Robar la credenciales de inicio de sesión que tal vez nunca serían importantes para nadie, pero en nuestra situación, la modificación del firmware sí importa: le daría acceso permanente al aparato, y consecuentemente, a una red corporativa. En este caso, la línea de fondo es obvia: si vives en el mundo de la seguridad de la información, no confíes en nadie. Por cierto, el número total de routers infectados (al menos en su parte Ipv4), con trabajo apenas supera varias docenas.
Un bug importante en el sistema de intercambio de datos AirDrop
Por dónde iba… Ah sí, el aumento de las máquinas. En el universo de ficción de Terminator II (odio Terminator III y las que siguen), la humanidad primero creó las máquinas y luego éstas se levantaron en contra de sus creadores. La razón inicial para construir las máquinas fue la de hacer la vida de los humanos (bueno, los militares) más fácil. Los robots fueron creados para atacar objetivos marcados en el mapa del mundo, o para luchar contra ciberataques, etc.
El modelo de ficción, aunque algo simplificado, está llevándose a cabo ahora en la vida real. Han pasados años desde que los humanos solo le dan a un botón para controlar gadgets, conectarse a redes o intercambiar información. Así cuando un usuario hace una pregunta (o incluso antes), la respuesta ya está programada automáticamente.
Bueno, de hecho eso es a lo que llamamos “progreso”, pero hay un fallo fundamental: No ejercemos ningún control sobre la interacción que existe entre nuestros dispositivos y la red. Por ejemplo, la función de AirDrop. Era capaz de resolver un sinnúmero de problemas por su cuenta: el usuario no tenía que pensar en “emparejamiento” o “conexión al punto de acceso” o “autorización”, lo único que tenía que hacer, era elegir al destinatario en la cercanía y enviar los datos. Una vulnerabilidad estaba destinada a ser descubierta en este modelo de conexión demasiada perfecta, y eso fue lo que sucedió.
Bug in #iOS and #OSX Allows Writing of Arbitrary Files Via AirDrop via @threatpost https://t.co/J0U8WlyYQs #apple pic.twitter.com/2jMTsQTaqN
— Kaspersky (@kaspersky) September 16, 2015
Mike Dowd, un investigador australiano, demostró un ataque, el cual permitía sobreescribir datos en el dispositivo de la víctima de forma remota con la ayuda de AirDrop. Lo único que necesitas hacer es enviar un enlace creado específicamente, a un dispositivo móvil (o incluso a una computadora Mac). Tan pronto como aterrice en el dispositivo señalado, al usuario le salta la ventana de aceptar o rechazar los datos, pero eso ya no importa: el exploit ya hizo su trabajo (algo similar a StafeFright en Android).
Existe un cierto límite: el usuario debería optar por aceptar los datos de todos los dispositivos en proximidad con AirDrop. Por conveniencia, esto puede hacerse incluso en un dispositivo bloqueado. Entonces, una vez que el atacante tenga acceso físico al teléfono por un par de segundos, se acabó. Como resultado, un hacker podría ser capaz de instalar cualquier aplicación a un iPhone de forma remota. Pero claro, esas aplicaciones corruptas disfrutarían privilegios básicos y no podrían robar nada al momento, pero esta es la historia de otros exploits que suelen ser utilizados para el jailbreak de dispositivos.
El bug fue parcheado en iOS 9.
Los creadores del ransomware CoinVault fueron arrestados
Noticias. La investigación de Kaspersky Lab. Otra investigación de CoinVault, incluyendo el concepto de descifrar sin ransom.
Debido a que las máquinas no son lo suficientemente inteligentes para actos malvados, la gente se encuentra a gusto haciéndolas en su lugar. Los arrestos reales de casos en los que “alguien hackea a otra persona” se escuchan raramente, por desgracia. Por ejemplo, la historia de antes: los investigadores descubrieron el firmware de un router modificado con puertas traseras. Pero, ¿quién lo modificó y por qué?
Ni idea. Existe el conocimiento de que las tecnologías anónimas en Internet, realmente hacen que el trabajo de las fuerzas de seguridad, sean una misión tediosa y sin éxito. Ransomware es un gran ejemplo de tal situación. Tor es utilizado para anonimizar servidores C&C, y los rescates se pagan en Bitcoins – al parecer no hay nada más por hacer.
Considerando lo antes mencionado, estamos muy contentos de que finalmente ganaran los buenos. Dos hombres fueron arrestados en los Países Bajos por crear el cryptolocker de CoinVault. Los expertos de Kaspersky Lab también contribuyeron a la operación, investigando la tecnología detrás del ataque.
CoinVault no es el locker más conocido, pero refleja un ejemplo perfecto de un ataque complejo por investigar. El informe del año pasado demostró cómo las muestras de ransomware evaden el análisis: si ejecutas el Troyano en una máquina virtual o en una computadora con WireShark, o algún software similar, la carga se bloquea.
Semana de la Seguridad 38: routers de #Cisco bajo ataque, un #bug en #AirDrop, y el arresto de los expertos en cifrado de #CoinVault
Tweet
Una vez publicado el informe de noviembre, al parecer, los cibercriminales detrás del ataque decidieron pasar desapercibidos por un tiempo, hasta que los investigadores de Panda Security compartieron un par de muestras. Al recopilar suficiente “evidencia” indirecta, los especialistas de Kaspersky Lab consiguieron descifrar la información de las víctimas de CoinVault sin pagar recompensa.
Un profundo análisis del código malicioso también ayudó a capturar a los culpables. Al principio, los expertos descubrieron líneas en un “holandés perfecto”, cuando en realidad la mayoría de códigos de malware están escritos en un inglés malo, lo que hace difícil encontrar al creador. Luego, con ayuda de la National High Tech Crime Unit (NHTCU, en español, Unidad Nacional de Delitos de Alta Tecnología), el servidor C&C fue detenido, y aquellos que lo controlaban fueron identificados.
Criminals behind #CoinVault ransomware are busted by Kaspersky Lab & Dutch police https://t.co/r0mP3LDIgr #infosec pic.twitter.com/X6ssm0c2UH
— Kaspersky (@kaspersky) September 17, 2015
Yo diría que el resultado de esta historia, es que ningún método de anonimato utilizado para actividades criminales, es impenetrable. En primer lugar, cualquier tecnología nueva tendría un método de venta libre. En segundo lugar, la razón principal de por qué los cibercriminales son ahora arrestados, no es un fallo en la tecnología, sino un factor humano que siempre estará presente.
Qué más ha pasado:
Un montón de bugs fueron descubiertos en PayPal y otros servicios; permiten la autenticación (incluso 2FA) bypass. Y en cuanto a PayPal, la culpa es de una API móvil, la cual resultó ser menos segura de lo esperado.
La iniciativa “Let´s encrypt” está activa ahora, así, los dueños de las páginas web tienen otra manera de conseguir un certificado HTTPS con menos esfuerzo.
Google parchó un bug en Android, el cual permite introducir una contraseña muuuuuy laaaargaaaa.
#Google Patches Latest #Android Lockscreen Bypass via @threatpost https://t.co/XqLsWIWRXd #mobile pic.twitter.com/7ioP8J3Rdz
— Kaspersky (@kaspersky) September 16, 2015
Oldies:
Familias “Invader” y “Plastique”
Virus residentes, extremadamente peligrosos. Infectan archivos .com y .exe (excepto command.com) según el algoritmo “Jerusalén”, como también los sectores de arranque de la unidad de disquete y discos duros. Estos formatean una pista adicional en la unidad de disquete, y se inscriben en sectores próximos a MBR en discos duros. Dependiendo de sus contadores, son capaces de ejecutar un ciclo nulo al abortar de acuerdo al temporizador (int 8), eliminar datos de las unidades, reproducir música, descifrar y mostrar los siguientes textos:
“Invader” (Invasor, en español) – “de Invader, Feng Chia U. Advertencia: No ejecutes ACAD.EXE!”
“Plastique” – “PLASTIQUE 5.21 (explosivo plástico) Copyright 1988-1990 por Grupo ABT (en asociación con Hammer LAB) ADVERTENCIA: NO EJECUTES ACAD.EXE!”
También incluyen el texto: “ACAD.EXECOMMAND.COM.COM.EXE”. Hackean Int 8, 9, 13h, 21h.
Citado de “Virus de ordenadores en MS-DOS”, de Eugene Kaspersky, 1992. Pág. 104.
Aviso legal: esta columna solo refleja la opinión personal del autor. Puede o no coincidir con la posición de Kaspersky Lab. Depende de la suerte.